Cloud computing bliver påvirket af GDPR. Vi kigger nærmere på, hvilke generelle databeskyttelsesudfordringer brugere af cloud computing kan forvente.

Flere og flere virksomheder flytter data til skyen. Og med store fordele som resultat. Det muliggør optimering af it-ressourcer, da cloudløsninger er fleksible, relativt billige og har næsten ubegrænset skalerbarhed.

En cloudserviceudbyder vil typisk kvalificere sig som databehandler, når jeres virksomhed benytter dennes tjenesteydelser. Cloudserviceudbyderen vil behandle personoplysninger, som er lagret i dennes databaser og servere på dine vegne, og Cloudserviceudbyderen gør ikke noget med dine data, med mindre du instruerer denne i at gøre det.

Med brug af cloudtjenester vil der opstå udfordringer for virksomheder. Både inden for generel databeskyttelse og i forbindelse med GDPR. Disse udfordringer må forventes, når man benytter sig af cloudtjenester, og diskussionen om disse udfordringer vil udgøre størstedelen af denne blog.

Generelle databeskyttelsesmæssige udfordringer i forhold til cloud computing
Virksomheder kan hoste næsten enhver datatype i skyen, herunder følsomme oplysninger. Det forøger risikoen for ukontrolleret læk af denne information til uvedkommende tredjeparter. Hvis en cloud computing-løsning vælges, hvor databehandling og/eller lagringslokaliteter deles, er der en risiko for lækage af informationer.

Med cloud computing er det ikke altid klart, i hvilket land data bliver lagret. Derfor kan det være vanskeligt at afgøre, hvilken lov der er gældende. Inden for EU er den fysiske placering af data eksempelvis afgørende for, hvilke regler der er gældende. Med cloud computing kan data måske overføres regelmæssigt fra en placering til en anden eller ligge flere steder på én gang, hvilket øger kompleksiteten.

En anden udfordring ligger i, at virksomheder, som anvender cloudtjenester, forventer, at de databeskyttelsesforpligtelser, de er indgået i med deres egne kunder og medarbejdere, fortsat vil være gældende, når de leveres af cloudtjenesteudbyderen. Hvis en sådan tjenesteudbyder opererer i mange forskellige jurisdiktioner, kan de registreredes rettigheder være vidt forskellige og blive underlagt forskellige vilkår. Derfor tilrådes det at forsøge at forhandle en skræddersyet kontrakt, der indeholder klausuler omkring disse databeskyttelsesforpligtelser.

GDPR-specifikke udfordringer

Effektiv implementering. Generelt må data jf. GDPR ikke lagres længere end nødvendigt til det prædefinerede formål. Derfor skal det være muligt at slette data effektivt, når opbevaringsperioder er udløbet. Vanskeligheden heri består i, at cloudtjenesteudbydere kan være udfordret ved at identificere og håndtere opbevaringskrav under flere jurisdiktioner. Også for virksomhederne, kan sletning af data være en udfordring. For at slette data fuldstændigt, skal backups også tages i betragtning. Derfor er det vigtigt at have et klart overblik over, hvordan disse sikres og opbevares af jeres cloudtjenesteudbydere.

Reaktion på sikkerhedsbrud. Forpligtelser til underretning om sikkerhedsbrud og protokoller skal inkluderes i databehandlingsaftaler med cloudtjenesteudbydere. Kontrakten skal definere en sikkerhedsbrudshændelse og beskrive den procedure, tjenesteudbyderen skal følge for at underrette jeres virksomhed om ethvert sikkerhedsbrud uden unødig forsinkelse. De dataansvarlige ønsker absolut ikke, at et sikkerhedsbrud skaber overskrifter, før deres tjenesteudbyder har underrettet dem om sikkerhedsbruddet, og før den dataansvarlige er i stand til at underrette lokale myndigheder.

Behandling af data uden for det Europæiske Økonomiske Samarbejdsområde. Fordi data kan lagres på adskillige lokationer af cloudtjenesteudbyderne, kan det ske, at personoplysninger lagres uden for EØS. For denne type databehandling må der træffes passende sikkerhedsforanstaltninger. Dataansvarlige vil skulle definere en cloudstrategi, der dækker flere lande, for at opfylde såvel tilstrækkelighedskrav som datalokaliseringslove.

Dataportabilitet for den dataansvarlige. Dataansvarlige skal være i stand til at efterkomme retten til dataportabilitet for registrerede. Hvis den dataansvarliges data er i skyen, skal det være muligt at udtrække dataene i et struktureret, almindeligt anvendt og maskinlæsbart format og levere disse til den registrerede eller til en anden databehandler. Det er derfor vigtigt at lave aftaler om dette med cloudtjenesteudbydere, der vil skulle stille den tekniske kapabilitet til rådighed.

Dataejerskab. Som dataansvarlig skal I bevare kontrol og ejerskab af jeres egne data. Derfor skal dette præciseres i kontrakten. Herudover skal I bekræfte, at i henhold til værtslandenes love bevarer jeres virksomheds ejerskab af de overførte data.

Risk Management Cloudserviceudbydere skal omfattes af jeres tredjepartsrisikostyring. For at fastlægge enhver risiko, kan der udarbejdes en konsekvensanalyse og en sikkerhedsvurdering. Herudover skal retten til at revidere cloudtjenesteudbydere indeholdes i aftalen. For at udføre en tilstrækkelig revision skal et kontrolrammeværk med kontrolforanstaltninger i forhold til databeskyttelse og databeskyttelse gennem design defineres sammen med en passende revisionsplan.

Cloudarkitektur og databeskyttelse gennem design. Når I som dataansvarlig engagerer en cloudtjenesteudbyder, bør I forstå de underliggende teknologier, der bruges af cloudtjenesteudbyderen, og den implikation, disse teknologier kan have på sikkerhedsforanstaltningerne og beskyttelsen af personoplysninger. Arkitekturen i en cloudtjenesteudbyders system bør overvåges med henblik på at håndtere enhver ændring i teknologien.

Synlighed vedrørende metadata og dataminimering. Hvis I som dataansvarlig er interesserede i at indgå en serviceaftale om cloudtjenester, bør I indhente oplysninger om de typer af metadata, der samles af cloududbyderen. Overvej, hvilket niveau af beskyttelse der anvendes for metadata, de respektive ejerskabsrettigheder, rettigheder til at fravælge indsamling eller distribution af metadata samt formålet med anvendelse af metadata.

Sikring af databeskyttelse. Som dataansvarlige har I ikke kontrol over cloududbyderens (it-) miljø, og I må stole på de it-kontroller, som udbyderen har etableret. Derfor er det altid nødvendigt at vurdere, i hvilket omfang udbyderen er i stand til at leve op til jeres it-sikkerhedskrav – eksempelvis via en tredjepartsrisikostyringsprocessen. Derudover må I også vurdere, hvilken form for it-sikkerhed og databeskyttelsesforanstaltninger eller certifikater udbyderen opretholder. Cloududbydere kan demonstrere efterlevelse af sikkerhed og databeskyttelse gennem design på adskillige måder:

• Med resultaterne fra en gennemført konsekvensanalyse vedrørende databeskyttelse
• Ved at blive ISO 27001-certificeret (system til forvaltning af informationssikkerheden)
• Ved at blive ISO 27018-certificeret (adfærdskodeks til beskyttelse af personligt identificerbare oplysninger (PII) i offentlige skyer ved at agere som PII-data